Qui est concerné par la directive NIS2 ?

NIS2 concerne les entreprises de 18 secteurs stratégiques qui dépassent les seuils suivants : entités essentielles (EE) à partir de 250 employés OU 50 M€ de chiffre d'affaires OU 43 M€ de bilan, dans les secteurs hautement critiques (annexe I). Entités importantes (EI) entre 50 et 249 employés OU 10 à 50 M€ de CA OU 10 à 43 M€ de bilan, dans les secteurs critiques (annexe II) ou hautement critiques. Les secteurs incluent énergie, transport, santé, services bancaires, infrastructures numériques, administration publique, fabrication, fournisseurs de services numériques, industrie chimique, agroalimentaire, recherche, services postaux et gestion des déchets. En France, environ 10 000 à 15 000 entreprises sont concernées (vs 500 sous NIS1). Au Luxembourg, environ 6 000 à 8 000 organisations.

Quelles sont les obligations techniques concrètes imposées par NIS2 ?

NIS2 impose une approche globale de la cybersécurité (article 21 de la directive) : analyse de risques et politique de sécurité documentée, plan de réponse aux incidents, tests et audits réguliers, formation continue des équipes, gestion des accès et authentification forte, journalisation et supervision des systèmes, chiffrement des données sensibles, sécurisation de la chaîne d'approvisionnement (fournisseurs et sous-traitants), plan de continuité d'activité et de reprise après sinistre, notification des incidents significatifs à l'autorité nationale sous 24 heures (alerte précoce) et 72 heures (notification détaillée). L'implication documentée de la direction est une obligation explicite avec responsabilité personnelle des dirigeants.

Par où commencer la mise en conformité NIS2 en 2026 ?

Trois premières étapes concrètes. 1) Auto-évaluation : vérifier si l'entreprise est concernée via les seuils et secteurs. En France, s'inscrire sur MonEspaceNIS2 (cyber.gouv.fr) ; au Luxembourg, sur le portail ILR à partir d'avril 2026. 2) Audit de maturité cyber : état des lieux des actifs, des risques, des pratiques existantes comparées aux 10 mesures de l'article 21. Livrable : rapport de gap analysis. 3) Plan de mise en conformité priorisé : quick wins, chantiers structurants, roadmap. Impliquer la direction dès l'audit : NIS2 exige une gouvernance cybersécurité documentée au niveau exécutif avec responsabilité personnelle des dirigeants, ce n'est pas un sujet purement technique.

NIS2 : votre PME est-elle concernée ? 18 secteurs, calendrier 2026, sanctions

Par Adrien Weiser · Mis à jour le 14 mai 2026 · 12 min de lecture

La directive NIS2 (Network and Information Security 2, règlement UE 2022/2555) est entrée dans sa phase concrète. La date limite européenne de transposition était le 17 octobre 2024, dépassée par plusieurs États dont la France et le Luxembourg. La transposition française (Loi Résilience) suit son cours, avec un examen en séance publique à l'Assemblée nationale prévu en juillet 2026 et une promulgation attendue courant été 2026 ; au Luxembourg, le projet de loi 8364 a été examiné en séance publique le 28 avril 2026, promulgation et publication au Journal officiel attendues dans les semaines suivantes. Les sanctions atteignent 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles.

Ce guide s'adresse aux dirigeants, DSI, RSSI et DPO de PME et ETI concernées par la directive en France et au Luxembourg. Il couvre : qui est concerné et à quels seuils, quelles obligations techniques concrètes (article 21), où en est la transposition dans les deux pays, comment s'y prendre méthodologiquement, quel budget prévoir, et les pièges opérationnels que nous observons sur le terrain. Sources officielles : ANSSI (cyber.gouv.fr), HCPN, ILR, CSSF, Légifrance, Légilux, Chambre des députés du Luxembourg.

En 30 secondes : suis-je concerné par NIS2 ?

Deux critères cumulatifs : appartenir à un secteur listé en annexe I (hautement critique) ou annexe II (critique), et atteindre les seuils de taille. Si plusieurs lignes vous concernent, c'est la plus contraignante qui s'applique.

Votre profil	Vous êtes	Échéance	Premier geste
250+ salariés OU 50 M€ de CA OU 43 M€ de bilan, dans un secteur de l'annexe I (énergie, transport, santé, banque, infrastructures numériques, administration publique, eau, espace).	Entité essentielle (EE)	Application dès entrée en vigueur Loi Résilience (France) ou loi 8364 (Luxembourg), courant 2026.	Inscription MonEspaceNIS2 (FR) ou portail ILR (LU). Audit de maturité cyber (phase 1).
50 à 249 salariés OU 10 à 50 M€ de CA OU 10 à 43 M€ de bilan, dans un secteur de l'annexe I ou de l'annexe II (fabrication, services numériques, chimie, agroalimentaire, recherche, services postaux, déchets).	Entité importante (EI)	Idem (mêmes textes nationaux).	Idem. Supervision a posteriori (vs continue pour EE).
Fournisseur DNS, registre de noms de domaine de premier niveau (TLD), fournisseur de services de confiance qualifié, fournisseur de services d'enregistrement de noms de domaine.	Concerné quelle que soit la taille	Idem.	Inscription obligatoire. Audit de maturité cyber.
Vous êtes sous-traitant ou fournisseur critique d'une EE ou EI (hébergeur, infogérance, intégrateur, SaaS métier critique, prestataire MSP).	Concerné par effet de cascade	Selon exigences contractuelles des clients EE/EI.	Auditer votre chaîne, anticiper les clauses de sécurité contractuelle.
Moins de 50 salariés ET moins de 10 M€ de CA, hors secteurs critiques spécifiques.	Non concerné	-	Aucune obligation NIS2 directe. Bonnes pratiques ANSSI / ILR recommandées.

Le doute reste fréquent sur deux points : l'appartenance sectorielle (la liste annexe I/II est plus large qu'il n'y paraît, en particulier sur les infrastructures numériques et la fabrication), et le périmètre des entités du groupe à inclure (filiales, holdings, succursales). En cas de doute, l'auto-évaluation officielle via MonEspaceNIS2 (France) ou le portail ILR (Luxembourg) tranche.

À retenir pour les PME et ETI : NIS2 fait passer le nombre d'entités concernées en France de 500 (sous NIS1) à 10 000 à 15 000. Au Luxembourg, environ 6 000 à 8 000 organisations. Beaucoup de PME et ETI découvrent qu'elles sont concernées alors qu'elles ne l'étaient pas sous NIS1.

Le calendrier NIS2 : où on en est en 2026

Dates clés UE et nationales

27 décembre 2022 : publication de la directive UE 2022/2555 au Journal officiel de l'Union européenne.
17 octobre 2024 : date limite européenne de transposition par les États membres. Plusieurs États sont en retard.
15 octobre 2024 : présentation du projet de Loi Résilience au Conseil des ministres français.
11-12 mars 2025 : adoption au Sénat français du projet de Loi Résilience.
10 septembre 2025 : examen en commission spéciale à l'Assemblée nationale française (nouvelle version du texte).
17 mars 2026 : présentation par l'ANSSI du ReCyF (Référentiel Cyber France) en version de travail, qui détaille les mesures recommandées pour atteindre les objectifs NIS2. Version finale prévue après promulgation de la Loi Résilience.
Avril 2026 : ouverture de l'auto-enregistrement sur le portail ILR au Luxembourg ; projet de loi 8364 examiné en séance publique à la Chambre des députés le 28 avril 2026.
Premier semestre 2026 : promulgation attendue de la Loi Résilience française, puis publication des décrets et arrêtés techniques au deuxième trimestre 2026.
Janvier 2027 : démarrage des contrôles complets au Luxembourg.

Les obligations NIS2 s'appliqueront aux entreprises concernées dès l'entrée en vigueur des textes nationaux (loi + décrets en France, loi 8364 au Luxembourg). Vu l'avancement des deux processus législatifs, l'application effective est attendue courant 2026 dans les deux pays. Les chantiers de mise en conformité prennent typiquement 4 à 8 mois pour une organisation qui part d'un niveau de maturité cyber moyen.

Attendre que les textes soient publiés pour démarrer expose à trois risques : allongement des délais d'audit chez les prestataires spécialisés à mesure que 2026 avance, impossibilité de boucler le cadrage puis la mise en œuvre avant les premiers contrôles, et risque opérationnel cyber qui ne disparaît pas pendant l'attente.

Qui est concerné : seuils et secteurs

NIS2 élargit massivement le périmètre de NIS1 : de 500 entités concernées en France à 10 000 à 15 000 entreprises. Deux critères cumulatifs déterminent l'assujettissement : appartenir à un secteur listé dans les annexes de la directive, et dépasser les seuils de taille.

Les deux catégories d'entités

Entités essentielles (EE)

Seuils : plus de 250 employés ou plus de 50 M€ de chiffre d'affaires annuel ou plus de 43 M€ de bilan annuel.
Secteurs hautement critiques (annexe I) : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable et eaux usées, infrastructures numériques (datacenters, DNS, cloud), gestion des services TIC, administration publique, espace.
Obligations renforcées (régime de supervision proactif ex ante), sanctions jusqu'à 10 M€ ou 2% du CA mondial.

Entités importantes (EI)

Seuils : 50 à 249 employés ou 10 à 50 M€ de chiffre d'affaires annuel ou 10 à 43 M€ de bilan annuel.
Secteurs critiques (annexe II) : services postaux, gestion des déchets, fabrication de produits chimiques, agroalimentaire, industrie manufacturière, fournisseurs de services numériques, recherche.
Obligations allégées par rapport aux EE (régime de supervision réactif ex post), sanctions jusqu'à 7 M€ ou 1,4% du CA mondial.

Une entreprise qui remplit les critères est automatiquement soumise à NIS2, avec ou sans notification officielle préalable. Il revient à l'entreprise de s'auto-déclarer si elle n'a pas été notifiée. Le fait de ne pas avoir reçu de courrier ANSSI ne dispense pas de la conformité.

Cas particulier : sous-traitants et fournisseurs

Les entreprises en dessous des seuils NIS2 peuvent être indirectement impactées : les entités essentielles et importantes ont l'obligation de sécuriser leur chaîne d'approvisionnement. Concrètement, un sous-traitant qui fournit un service numérique critique à une EE ou une EI sera évalué selon des critères NIS2 même s'il n'y est pas directement soumis. Le marché des sous-traitants IT va progressivement s'aligner sur ces standards.

Les 18 secteurs concernés en détail

La directive NIS2 (annexes I et II de la directive UE 2022/2555) liste 18 secteurs au total, répartis en deux catégories. Si votre activité relève d'un sous-secteur de cette liste et que vous atteignez les seuils de taille, vous êtes concerné. Le doute reste fréquent sur les secteurs infrastructures numériques (annexe I, large) et industrie manufacturière (annexe II, qui couvre 6 sous-secteurs distincts).

Annexe I - 11 secteurs hautement critiques

Une entreprise dans ces secteurs est entité essentielle (EE) si elle dépasse les seuils EE (250+ employés ou 50 M€ CA ou 43 M€ bilan), entité importante (EI) si elle est dans les seuils EI (50-249 employés ou 10-50 M€ CA ou 10-43 M€ bilan).

Secteur	Sous-secteurs couverts
1. Énergie	Électricité, réseaux de distribution, pétrole, gaz, hydrogène, chaleur et froid urbains.
2. Transports	Aérien (compagnies, aéroports, contrôle aérien), ferroviaire (gestionnaires d'infrastructures, opérateurs), maritime et fluvial (ports, compagnies), routier (autorités routières, opérateurs ITS).
3. Secteur bancaire	Établissements de crédit au sens du règlement UE 575/2013 (banques commerciales, caisses d'épargne, établissements de crédit spécialisés).
4. Infrastructures des marchés financiers	Opérateurs de lieux de négociation (plateformes de trading, bourses), contreparties centrales (CCP).
5. Santé	Hôpitaux, cliniques, laboratoires de référence, fabricants pharmaceutiques, fabricants de dispositifs médicaux d'importance critique, organismes de recherche médicale.
6. Eau potable	Fournisseurs et distributeurs d'eau destinée à la consommation humaine.
7. Eaux usées	Opérateurs de collecte, d'évacuation ou de traitement des eaux usées urbaines, domestiques et industrielles.
8. Infrastructures numériques	Points d'échange Internet (IXP), DNS, registres de noms de domaine de premier niveau (TLD), fournisseurs de services cloud, datacenters, CDN, services de confiance qualifiés (eIDAS), communications électroniques publiques (télécoms).
9. Gestion des services TIC (B2B)	Fournisseurs de services gérés (MSP), fournisseurs de services de sécurité gérés (MSSP), infogérants critiques.
10. Administration publique	Entités de l'administration publique centrale. Les États membres peuvent étendre la couverture aux administrations régionales et locales - la France prévoit de les inclure dans son projet de loi de transposition (en cours d'adoption au Parlement, procédure d'infraction européenne ouverte en mai 2025 pour retard).
11. Espace	Opérateurs d'infrastructures spatiales, fournisseurs de services satellitaires.

Annexe II - 7 secteurs critiques

Une entreprise dans ces secteurs est entité importante (EI) si elle dépasse les seuils EI ou EE. Les obligations sont allégées par rapport aux EE (supervision a posteriori, sanctions plafonnées à 7 M€ ou 1,4% du CA mondial).

Secteur	Sous-secteurs couverts
1. Services postaux et de courrier	Opérateurs de services postaux universels, services de livraison express, courrier critique.
2. Gestion des déchets	Entreprises dont la gestion des déchets est l'activité économique principale.
3. Fabrication, production et distribution de substances chimiques	Producteurs et distributeurs de substances chimiques au sens du règlement REACH.
4. Production, transformation et distribution alimentaire	Entreprises de production agroalimentaire, transformateurs, distributeurs en gros, plateformes logistiques alimentaires.
5. Industrie manufacturière (6 sous-secteurs)	a) Fabrication de dispositifs médicaux et DM in vitro (hors annexe I santé) ; b) Informatique, électronique, optique ; c) Équipements électriques ; d) Machines et équipements ; e) Véhicules automobiles, remorques, semi-remorques ; f) Autres matériels de transport (aéronautique, ferroviaire, naval).
6. Fournisseurs numériques	Places de marché en ligne (Amazon, Cdiscount, Backmarket type), moteurs de recherche, plateformes de réseaux sociaux.
7. Recherche	Organismes de recherche (publics et privés) dont l'activité principale est la recherche.

Cas particuliers : concernés quelle que soit la taille

Indépendamment des seuils EE et EI, certaines entités sont concernées par NIS2 dès l'instant où elles exercent leur activité, même avec moins de 50 employés :

Fournisseurs de services DNS (Domain Name System), à l'exception des opérateurs de serveurs racine.
Registres de noms de domaine de premier niveau (TLD) et fournisseurs de services d'enregistrement.
Fournisseurs de services de confiance qualifiés (signature électronique, eIDAS).
Administration publique centrale (l'État dans son ensemble).
Toute entité désignée par l'autorité nationale comme opérateur d'infrastructure critique (l'ANSSI en France, l'ILR au Luxembourg peuvent désigner d'office des entités sous les seuils si leur perturbation aurait un impact transfrontalier ou national majeur).

En cas de doute sur votre secteur, l'auto-évaluation officielle reste la voie sûre : MonEspaceNIS2 (cyber.gouv.fr) pour la France, portail ILR (ilr.lu) pour le Luxembourg. Ces portails posent les questions sectorielles précises pour confirmer ou infirmer l'assujettissement, et fournissent un récépissé qui sert de référence en cas de contrôle.

Les obligations techniques concrètes

NIS2 impose une approche globale de la cybersécurité articulée autour de 10 mesures minimales (article 21 de la directive). Le niveau d'exigence varie entre entités essentielles et importantes, mais l'ossature est la même.

Les 10 mesures minimales obligatoires

1. Analyse de risques et politique de sécurité documentée au niveau direction.
2. Plan de gestion des incidents : procédures, équipes dédiées, tests réguliers.
3. Continuité d'activité : sauvegardes, plan de reprise après sinistre (PCA/PRA) testés en restauration réelle.
4. Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs, clauses contractuelles, suivi des dépendances.
5. Sécurité dans l'acquisition et le développement : intégrer la sécurité dès la conception (security by design).
6. Évaluation de l'efficacité : audits réguliers, tests d'intrusion, exercices de crise.
7. Pratiques d'hygiène cyber et formation continue des équipes (au-delà d'une formation annuelle en ligne).
8. Politiques de chiffrement des données sensibles au repos et en transit.
9. Contrôles d'accès : authentification forte (MFA), gestion des privilèges, journalisation.
10. Sécurité des ressources humaines : procédures entrée/sortie, sensibilisation, confidentialité.

Notification des incidents : obligation spécifique

Un incident significatif doit être notifié à l'ANSSI en trois temps : alerte précoce sous 24 heures, notification détaillée sous 72 heures, rapport final sous un mois. Un incident significatif est défini par son impact potentiel sur la continuité du service ou sur la sécurité des données. Cette obligation est souvent sous-estimée en phase de cadrage : il faut une équipe prête à qualifier et notifier dans ces délais très courts.

Responsabilité de la direction

NIS2 impose explicitement une responsabilité au niveau direction : les dirigeants doivent approuver la politique de gestion des risques cyber, suivre les indicateurs, et peuvent être tenus personnellement responsables en cas de négligence grave. L'ANSSI peut interdire temporairement à un dirigeant d'exercer ses fonctions en cas de manquement répété.

Autorités compétentes et état de la transposition

La directive NIS2 laisse à chaque État membre le soin de désigner ses autorités nationales et d'organiser sa supervision. La France et le Luxembourg ont des architectures différentes, et tous deux sont en cours de transposition au moment de la publication de ce guide.

France : ANSSI au centre, Loi Résilience attendue 2026

L'ANSSI (Agence nationale de la sécurité des systèmes d'information, cyber.gouv.fr) est l'autorité centrale pour NIS2 en France. Elle pilote la transposition, anime le guichet d'auto-évaluation MonEspaceNIS2, supervisera les contrôles et instruira les sanctions. Le projet de Loi Résilience (loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité) a été adopté au Sénat les 11-12 mars 2025, puis examiné en commission spéciale à l'Assemblée nationale le 10 septembre 2025. L'examen en séance publique est prévu en juillet 2026 sous réserve de session extraordinaire, promulgation attendue courant été 2026, suivie des décrets et arrêtés techniques.

L'ANSSI a présenté le ReCyF (Référentiel Cyber France) en version de travail le 17 mars 2026. Ce document, non contraignant à ce stade, détaille les mesures concrètes recommandées pour atteindre les objectifs de sécurité fixés par NIS2. La version finale sera publiée après la promulgation de la Loi Résilience. C'est le document opérationnel à suivre pour structurer une démarche de mise en conformité française.

Luxembourg : architecture tripartite HCPN / ILR / CSSF

Le Luxembourg adopte une architecture distribuée. Le HCPN (Haut-Commissariat à la Protection nationale) assure la coordination stratégique nationale et représente le pays au niveau européen (équivalent ANSSI sur le volet régalien). L'ILR (Institut luxembourgeois de régulation) est l'autorité de surveillance pour la majorité des secteurs et opère le portail d'auto-enregistrement unique. La CSSF (Commission de surveillance du secteur financier) supervise les acteurs financiers.

Le projet de loi n° 8364 a été introduit à la Chambre des députés le 13 mars 2024 et examiné en séance publique le 28 avril 2026, après plusieurs sessions de la Commission des Institutions (décembre 2024, février, mars et avril 2026). La promulgation et la publication au Journal officiel sont attendues dans les semaines suivantes. Le portail d'auto-enregistrement ILR ouvre en avril 2026, avec une phase d'enregistrement obligatoire pour toutes les entités concernées. Les contrôles de gouvernance complets démarrent en janvier 2027. Environ 6 000 à 8 000 organisations luxembourgeoises seront concernées.

Recoupement avec l'AI Act au Luxembourg

Au Luxembourg spécifiquement, l'ILR cumule un rôle particulier : il supervise les déployeurs de systèmes IA haut risque (au sens de l'AI Act) qui sont également opérateurs de services essentiels au sens de NIS2. Les entreprises luxembourgeoises concernées par les deux régimes ont donc un interlocuteur unique sur le volet IA / résilience cyber, ce qui simplifie la gouvernance par rapport au modèle français où ces sujets relèvent d'autorités distinctes (ANSSI sur NIS2, CNIL et autres sur l'AI Act).

Méthodologie de mise en conformité en 4 phases

Phase 1 : Qualification et audit (3 à 6 semaines)

Vérification de l'assujettissement (seuils + secteur), identification de la catégorie (EE ou EI). Auto-évaluation via MonEspaceNIS2 en France ou le portail ILR au Luxembourg. Audit de maturité cyber sur les 10 mesures de l'article 21, en s'appuyant sur le ReCyF (France) ou les guidelines ILR (Luxembourg). Livrable : rapport de gap analysis qui liste ce qui est déjà en place, ce qui manque, ce qui demande à être formalisé. Budget indicatif : 8 000 à 20 000 € HT selon la taille du SI.

Phase 2 : Cadrage et plan d'action (2 à 4 semaines)

Priorisation des chantiers : quick wins (MFA, sauvegardes testées, journalisation de base), chantiers structurants (plan de réponse aux incidents, PCA/PRA, sécurisation chaîne d'approvisionnement), chantiers longs (culture cyber, chiffrement généralisé). Livrable : roadmap avec planning aligné sur l'entrée en vigueur des textes nationaux, budget détaillé, indicateurs de suivi. Mobilisation formelle de la direction.

Phase 3 : Mise en œuvre (3 à 8 mois selon maturité)

Déploiement des mesures techniques et organisationnelles. Formation des équipes. Rédaction des politiques et procédures. Tests de restauration, exercices de crise, simulation d'incidents. Mise en place du dispositif de notification ANSSI. Phase souvent en parallèle entre plusieurs chantiers, ce qui demande une coordination rigoureuse.

Phase 4 : Validation et documentation (2 à 4 semaines)

Audit de conformité interne ou par un tiers indépendant, production des documents exigibles en cas de contrôle ANSSI, validation par la direction. Passage en mode "run" : supervision continue, audits annuels, mise à jour des procédures. C'est le moment où l'entreprise bascule de la conformité projet à la conformité opérationnelle.

Durée totale typique pour une PME (EI) : 4 à 7 mois. Pour une ETI ou grand compte (EE) avec SI complexe : 8 à 14 mois. D'où l'intérêt de démarrer le cadrage dès maintenant, sans attendre la promulgation des textes nationaux : la phase d'audit et de gap analysis ne dépend pas du calendrier législatif et permet de gagner plusieurs mois.

Budget

Combien coûte une mise en conformité NIS2

Entité importante (50-249 employés)

Audit initial et cadrage : 8 000 à 20 000 € HT. Mise en œuvre selon maturité de départ : 30 000 à 150 000 € HT. Run annuel (supervision, audits, formation) : 10 à 30 % du budget initial.

Entité essentielle (250+ employés)

Audit et cadrage : 20 000 à 50 000 € HT. Mise en œuvre : 80 000 à 300 000 € HT et plus selon complexité du SI et dispersion géographique. Run annuel : 50 000 € HT et plus.

Grand compte ou entité stratégique

Audit et cadrage : 50 000 € HT et plus. Mise en œuvre : 300 000 € HT à plusieurs millions selon périmètre. Ces chantiers mobilisent plusieurs prestataires (conseil cyber, intégrateur technique, avocats, formation).

Ces fourchettes varient fortement selon la maturité cyber au point de départ. Une organisation déjà certifiée ISO 27001 ou ayant déployé un SOC aura un coût NIS2 très en dessous des fourchettes. Une organisation sans gouvernance cyber formalisée sera au-dessus.

Points de vigilance observés sur le terrain

1. La chaîne d'approvisionnement est sous-estimée

L'obligation de sécuriser la chaîne d'approvisionnement se traduit en pratique par un audit de chaque fournisseur numérique critique : hébergeurs, éditeurs SaaS, intégrateurs, sous-traitants dev. Mise en place de clauses contractuelles, suivi des incidents côté fournisseurs, plan de bascule si un fournisseur n'est plus conforme. C'est un chantier à part entière qui peut demander 2 à 4 mois.

2. La notification sous 24h est un vrai sujet opérationnel

Sans procédure formalisée et équipe entraînée, respecter le délai de 24 heures est difficile. Il faut une équipe d'astreinte (ou une solution SOC managed), un arbre de décision pour qualifier l'incident significatif, un canal de communication direct avec l'autorité nationale (ANSSI en France, ILR au Luxembourg). À tester régulièrement en simulation.

3. La responsabilité de la direction est juridique, pas cosmétique

Il ne suffit pas d'une mention dans le rapport annuel. La direction doit documenter sa revue des risques, ses arbitrages, ses validations de plans de mise en conformité. En cas de contrôle, ces documents sont exigibles. Formalise-les dès la phase 2.

4. Tension sur les profils RSSI et cybersécurité

Les 10 à 15 000 entreprises concernées cherchent toutes des compétences en sécurité au même moment. Les RSSI internes sont en forte demande, les équipes expérimentées des cabinets cyber se mobilisent au fil de 2026. Démarrer tardivement expose à un marché plus tendu côté disponibilité, et à des taux journaliers en hausse au Q4 2026.

5. Les sanctions vont graduellement monter en puissance

Dans la première année qui suit l'entrée en vigueur des textes nationaux, les autorités (ANSSI en France, ILR au Luxembourg) privilégieront probablement l'accompagnement et l'injonction de mise en conformité plutôt que les amendes maximales. Sur les années suivantes, la logique de sanction s'accélérera pour crédibiliser la directive. Jouer la montre n'est pas une stratégie tenable, d'autant que le risque cyber opérationnel reste indépendant du calendrier réglementaire.

FAQ

Questions fréquentes

NIS2 concerne les entreprises de 18 secteurs stratégiques qui dépassent les seuils suivants : entités essentielles (EE) à partir de 250 employés OU 50 M€ de CA OU 43 M€ de bilan annuel. Entités importantes (EI) entre 50 et 249 employés OU 10 à 50 M€ de CA OU 10 à 43 M€ de bilan. En France, 10 000 à 15 000 entreprises sont concernées (vs 500 sous NIS1). Au Luxembourg, environ 6 000 à 8 000 organisations.

La date limite européenne de transposition était le 17 octobre 2024, dépassée par plusieurs États dont la France et le Luxembourg. France : Loi Résilience adoptée au Sénat les 11-12 mars 2025, examinée à l'Assemblée nationale le 10 septembre 2025, examen en séance publique prévu en juillet 2026 sous réserve de session extraordinaire, promulgation attendue courant été 2026 puis décrets dans la foulée. ANSSI a présenté le ReCyF (référentiel cyber) en version de travail le 17 mars 2026. Luxembourg : projet de loi 8364 introduit en mars 2024, examiné en séance publique le 28 avril 2026, promulgation et publication au Journal officiel attendues dans les semaines suivantes. Auto-enregistrement ILR ouvre en avril 2026, contrôles complets en janvier 2027. Les obligations s'imposent dès l'entrée en vigueur des textes nationaux.

Pour les entités essentielles, jusqu'à 10 millions d'euros ou 2% du CA mondial annuel. Pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4% du CA mondial. Au-delà des amendes, les dirigeants peuvent engager leur responsabilité personnelle (interdiction temporaire d'exercer). L'autorité nationale (ANSSI en France, ILR au Luxembourg, CSSF pour les acteurs financiers luxembourgeois) peut aussi suspendre certaines activités en cas de manquement majeur.

NIS2 impose 10 mesures minimales (article 21 de la directive) : analyse de risques documentée, plan de gestion des incidents, PCA/PRA, sécurisation chaîne d'approvisionnement, security by design, audits réguliers, formation continue, chiffrement, contrôles d'accès (MFA obligatoire de fait), sécurité RH. Plus la notification des incidents à l'autorité nationale (ANSSI en France, ILR au Luxembourg) sous 24 heures (alerte) et 72 heures (détaillée). Implication documentée de la direction obligatoire avec responsabilité personnelle des dirigeants.

Pour une PME entité importante (50 à 249 employés), compter 8 000 à 20 000 € HT pour l'audit initial et le cadrage, puis 30 000 à 150 000 € HT pour la mise en conformité selon la maturité. Pour une entité essentielle (250+ employés), 20 000 à 50 000 € HT pour l'audit et le cadrage, puis 80 000 à 300 000 € HT et plus pour la mise en œuvre. Run annuel : 10 à 30% du budget initial chaque année.

Trois étapes concrètes. 1) Auto-évaluation : vérifier si l'entreprise est concernée via les seuils et secteurs, puis s'inscrire sur MonEspaceNIS2 (France) ou le portail ILR (Luxembourg, à partir d'avril 2026). 2) Audit de maturité cyber sur les 10 mesures de l'article 21, en s'appuyant sur le ReCyF (France). Livrable : rapport de gap analysis. 3) Plan de mise en conformité priorisé : quick wins, chantiers structurants, roadmap. Impliquer la direction dès l'audit avec responsabilité personnelle des dirigeants.

Ressources liées

Un projet de mise en conformité NIS2 ?
Parlons-en directement.

Échanger sur votre conformité NIS2

Nous contacter

Nous suivre